Uno de los cifrados de seguridad más usados en Internet pone en riesgo tus compras online
Expertos en Seguridad de varios países del mundo están avisando de la seria amenaza que supone seguir utilizando certificados digitales en webs que estén basados en el algoritmo SHA-1. Este tipo de cifrado quedó al descubierto hace ya un tiempo por la escasa protección que ofrecía en las conexiones que lo usaran, como sucede en las compras online. Pero se teme que un gran ataque de aquí a final de año pueda ser devastador para todos los procesos que lo utilicen.
El final definitivo del uso de SHA-1 en los principales navegadores web no debería irse más lejos del mes de enero de 2017 pero esa fecha podría ser un plazo excesivamente si se cumplen las previsiones de los analistas de seguridad. Los investigadores de Centrum Wiskunde & Informatica, Inria y Nanyang Technological University, pertenecientes a los tres centros de Países Bajos, Francia y Singapur respectivamente, han sido los que han dado la voz de alarma al respecto de las consecuencias catastróficas que podrían derivarse de una brecha de seguridad explotada por un ataque a gran escala sobre este algoritmo, que podría llegar antes de final de año.
Y es que SHA-1 está presente en un 28% del total de las comunicaciones con certificados digitales que se usan por ejemplo en el comercio online, transacciones bancarias, comunicaciones con páginas web o la descarga de aplicaciones y programas. Mediante un ataque informático sobre el hash de este algoritmo se podría obtener una autenticación en cualquier sitio web que utilice el cifrado de SHA-1 y este problema de seguridad afectaría obviamente a usuarios de cualquier parte del mundo.
El coste de lanzar un ataque sobre SHA-1 ha caído en picado
Desde el año 2012 se viene advirtiendo del riesgo de un ataque sobre SHA-1 pero por aquel entonces se hablaba de que actualmente en 2015 hablaríamos de un coste necesario para llevarlo a cabo que rondaba los 700.000 dólares, por lo que únicamente una avanzada red criminal con capacidad económica suficiente podría plantearse un movimiento agresivo. Pero según los nuevos estudios, el coste de ese ataque podría oscilar entre los 75 dólares y los 120.000 dólares, cifras que quedan mucho más al alcance de un mayor número de ciberdelincuentes que pueden aprovechar la debilidad en SHA-1.
No obstante, esta nueva amenaza no parece ser suficiente aliciente para que las grandes corporaciones se decidan a abandonar definitivamente SHA-1 y únicamente se ha conseguido limitar su uso hasta diciembre de 2016, debido al gran problema que supondría cambiar todos los sistemas y adaptarlos a un nuevo cifrado. El tiempo dirá si esta espera sale cara.